U trendu

Ni PDF format nije otporan na crve

Krstarica

Španska kompanija HispaSec Sistemas i američka Fondacija za privatnost (Privacy Foundation) saopštile su da je nedavno registrovan crv koji zaražava fajlove u Adobe-ovom formatu za prenosive dokumente (Portable Document Format, PDF), koji se pregledaju besplatnim programom Adobe Acrobat Reader.

Analizu crva su izvršili Bernardo Kinteros, prvi čovek HispaSec Sistemas-a, i Ričard M. Smit, tehnički direktor Fondacije za privatnost.

Kinteros kaže: “Čak i da se radi samo o laboratorijski stvorenom virusu, on je poput zametka koji će poslužiti da se naprave novi, slični varijeteti u PDF fajlovima, formatu koji je do sada smatran bezbednim.”

Kao što kaže Kinteros, ovaj format je bio smatran bezbednim i otpornim na “zarazu”. Za virus nazvan Outlook.pdf smatra se da je nastao u “ogledne” svrhe i poznato je da za sada on nije preterano infektivan. Za svoje širenje, on koristi Adobe Acrobat Exchange i funkcije Microsoft Outlook-a koje do sada nikada nisu bile korišćene za crve. Obojica istraživača, naime, smatraju da crv koristi Outlook da bi samo sebe slao skrivenog u PDF fajlu. Kada se zaraženi fajl, po prispeću na drugi računar, otvori programom Acrobat, pokreće se igrica koja od korisnika zahteva da mišem pritisne sliku breskve (ovu sliku moguće je videti na adresi http://www.hispasec.com/pdfworm.gif). Kada korisnik to i uradi, pokreće se skript pisan u Visual Basic-u i virus se aktivira.

On se širi koristeći sve adrese iz e-poruka u bilo kom folderu Outlook-a, a ne samo one iz adresara (!), a šalje se u PDF fajlu, prerušavajući se tako što svaki put promeni temu poruke, njen tekst i naziv priloga.

Poznat je autor crva – radi se o argentinskom hakeru poznatom pod pseudonimom Zulu, koji je “velika zverka” u hakerskom podzemlju, među stvaraocima virusa. Zulu se smatra plodonosnim inovatorom, “zaslužnim” za “dostignuća” kao što su “Bubble Boy”, “Freelinks”, “The_Fly”, “Monopoly” i “Life_Stages”. Zulu je ovaj virus kreirao kao “dokaz koncepta”, odnosno mogućnosti da se i Acrobat-ovi fajlovi koriste kao nosioci virusa; srećom, virus nije “optimalizovan” za masovnu distribuciju – između ostalog, neophodno je da na računaru žrtve postoje Outlook (a ne mail/news klijent Outlook Express), kao i kompletan program Acrobat Exchange – nije dovoljno da vlasnik računara poseduje samo besplatni čitač Adobe Acrobat Reader.

Smit, pak, kaže: “O bezbednosnim aspektima Adobe Acrobat-a u javnosti se, koliko ja znam, govorilo malo. Pošto se PDF fajlovi smatraju bezbednim u Internet Explorer-u, to znači da bezbednosni propusti u programu Acrobat mogu lako da se iskoriste sa web strana i kroz poruke e-pošte u HTML formatu.”

Zulu je Kinterosu poručio da viruse pravi iz zabave, jer to smatra zanimljivim obrazovnim iskustvom, te da se ne oseća krivim zbog onoga što radi, između ostalog i stoga što ono što radi u Argentini, formalno gledano, još uvek nije protivzakonito. Kinteros kaže da crvi koje je stvorio Zulu, sami po sebi, nisu opasni, pošto ne sadrže zlonamerni kôd, ali opasnost od njih leži u inteligentnoj koncepciji i mogućnosti da ih neko preradi i učini zaista opasnim.

Pratite Krstaricu i preko mobilne aplikacije za Android i iPhone.